Die Speicherbegrenzung gehört zu den Grundprinzipien der DSGVO – dennoch scheitern viele Unternehmen an der Umsetzung. Fehlende Löschkonzepte sind ein häufiger Kritikpunkt bei Audits und können teuer werden.
Art. 5 Abs. 1 lit. e DSGVO fordert: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Klingt einfach, ist in der Praxis aber komplex. Denn verschiedene Daten unterliegen unterschiedlichen Aufbewahrungsfristen – gesetzlich (Handelsrecht, Steuerrecht), vertraglich (Gewährleistung, Verjährung) oder betrieblich (Dokumentationspflichten).
Typische Fehler in der Praxis: Keine definierten Löschfristen für verschiedene Datenkategorien, fehlende technische Prozesse zur automatischen Löschung, Altdaten in Legacy-Systemen, die niemand anfasst sowie keine Dokumentation durchgeführter Löschungen. Das Problem: Ohne Löschkonzept kann die Rechenschaftspflicht nicht erfüllt werden. Bei Auskunftsanfragen oder Kontrollen durch Aufsichtsbehörden wird das schnell zum Problem.
Die Lösung ist ein strukturiertes Löschkonzept mit: Kategorisierung aller Datenarten nach Verarbeitungszweck, Definition konkreter Löschfristen (unter Berücksichtigung gesetzlicher Vorgaben), technischen Löschprozessen (automatisiert oder manuell mit Erinnerungsfunktion) sowie Dokumentation durchgeführter Löschungen (Nachweis für Rechenschaftspflicht).
Fazit
Löschkonzepte sind keine Kür, sondern Pflicht. Wer personenbezogene Daten verarbeitet, muss nachweisen können, wann und wie diese gelöscht werden. Ein strukturiertes Löschkonzept schützt vor Bußgeldern und erleichtert die Erfüllung von Betroffenenrechten. Die Investition lohnt sich.
Top 5 Empfehlungen:
1. Dateninventar erstellen: Erfasse alle Kategorien personenbezogener Daten und ordne sie den Verarbeitungszwecken zu.
2. Löschfristen definieren: Lege für jede Datenkategorie konkrete Löschfristen fest (gesetzlich, vertraglich, betrieblich).
3. Automatisierung nutzen: Implementiere technische Lösungen zur automatischen Löschung – manuelle Prozesse sind fehleranfällig.
4. Legacy-Systeme bereinigen: Räume Altdatenbestände systematisch auf – ungenutzte Daten sind Risikofaktoren.
5. Löschungen dokumentieren: Halte fest, welche Daten wann gelöscht wurden – das ist für die Rechenschaftspflicht unverzichtbar.